应急响应中的溯源方法

在发现有入侵者后，快速由守转攻，进行精准地溯源反制，收集攻击路径和攻击者身份信息，勾勒出完整的攻击者画像。

对内溯源与对内溯源

对内溯源：确认攻击者的行为 ，分析日志 数据包等；

对外溯源：确认攻击者的真实身份，确定攻击 ip，进一步确实域名及注册信息等。

溯源整体思路

常规出现的异常点

1. 网页被篡改、被挂上了黑链、web文件丢失等
2. 数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
3. 主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
4. 主机流量层出现大量异常流量

信息收集

1. 攻击时间、攻击ip、恶意文件、攻击详情（重要）
2. 异常服务器的主要业务
3. 网络拓扑，是否可以公网访问，开放端口，是否有补丁，使用的 web 技术等
4. 是否有安全设备

往往得到的一些可能：“一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架，那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了；如果一台公网服务器没有安装补丁又没有防火墙防护，administrator的密码为P@sswrod那么有很大的可能性是被暴力破解成功；后面的工作主要就是收集各种资料证明这一猜想即可。”

案例

1.邮件钓鱼攻击溯源

1. 攻防场景：攻击者利用社会工程学技巧伪造正常邮件内容，绕过邮件网关的查杀，成功投递到目标邮箱，诱骗用户点击邮件链接或下载附件文件。
2. 信息收集：通过查看邮件原文，获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
3. 溯源方式：
   第一种，可以通过相关联的域名/IP进行追踪；
   第二种，对钓鱼网站进行反向渗透获取权限，进一步收集攻击者信息；
   第三种，通过对邮件恶意附件进行分析，利用威胁情报数据平台寻找同源样本获取信息，也能进一步对攻击者的画像进行勾勒。

2.Web入侵溯源

1. 攻防场景：攻击者通过NDAY和0DAY漏洞渗入服务器网段，Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
2. 溯源方式：隔离webshell样本，使用Web日志还原攻击路径，找到安全漏洞位置进行漏洞修复，从日志可以找到攻击者的IP地址，但攻击者一般都会使用代理服务器或匿名网络（例如Tor）来掩盖其真实的IP地址。 在入侵过程中，使用反弹shell、远程下载恶意文件、端口远程转发等方式，也容易触发威胁阻断，而这个域名/IP，提供一个反向信息收集和渗透测试的路径。

3.蜜罐溯源

1. 攻防场景：在企业内网部署蜜罐去模拟各种常见的应用服务，诱导攻击者攻击。
2. 溯源方式：在攻击者入侵蜜罐时，蜜罐可以记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。